製品ドキュメント

シングルサインオン

最終更新日: 06 年 2023 月 XNUMX 日

LogicMonitorのシングルサインオン(SSO)ソリューションを使用すると、管理者はLogicMonitorユーザーをIDプロバイダー(IdP)から直接認証および管理できます。 これにより、ログインプロセスとパスワード管理が簡素化されると同時に、IdPのすべてのセキュリティ機能と効率を活用できるようになります。

LogicMonitor の SSO は、SAML 2.0 互換の IdP と連携できます。 つまり、これにより、LogicMonitor と IdP がハンドシェイクを介して相互に検証し、SAML アサーションを介してユーザー認証情報を共有できるようになります。 交換は次のようになります (サービス プロバイダーとして LogicMonitor を使用)。

ディフューザーを支えるテクノロジー

交換はLogicMonitorから開始することもできます。 ユーザーエクスペリエンスの観点から、IdPを開始すると、ユーザーはIdPにログインし、そこから直接LogicMonitorを起動します。 サービスプロバイダーフローでは、ユーザーはcompany.logicmonitor.comに直接アクセスでき、IdPでログインしていることを確認するか、リダイレクトしてログインします。

SSOの有効化

LogicMonitorアカウントでSSOを有効にしても、既存のユーザーには影響しませんが、統合をテストすることはできます。

  1. 現在地に最も近い シングルサインオンを有効にする からの設定 設定 > ユーザーアクセス > シングルサインオン.
  2. サービスプロバイダーのメタデータをダウンロードします。 これをIdPにアップロードする必要があります。
  3. IdPを構成します。 必要なすべての情報は、サービスプロバイダーのメタデータに含まれている必要があります。 詳細については、「IdP設定」を参照してください。
  4. IdPメタデータをダウンロードします。 これをLogicMonitorポータルにアップロードする必要があります。

IdPメタデータがLogicMonitorアカウントにアップロードされたら、統合をテストできます。

IdP構成

次のフィールドはIdP構成に共通です。

  • エンティティID:https://会社名.logicmonitor.com
  • ログインURL, 受信者または アサーション消費者サービス:https://会社名.logicmonitor.com / santaba / saml / SSO /
  • ポストバックURL:https://会社名.logicmonitor.com / santaba / rpc / ssoSignIn?func = idpSso&c = testcompany
  • 認証を強制する: はい
  • 名前ID形式: 電子メールアドレス
  • グループ名:https://www.logicmonitor.com/saml/roles
  • リスポンス:署名済み
  • アサーション:署名済み
  • 登録リクエスト:圧縮
  • MaxAuthenticationAge:一部のIdPでは、このフィールドに値(秒単位)を設定することで、ユーザーが指定された時間認証されたままになることができます。

ユーザーのIdPから、次の属性名を自動入力できます。

  • メールアドレス:エンティティの電子メールアドレスを指定するクレームのURI、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • :エンティティの指定された名前を指定するクレームのURI、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
  • :エンティティの名前を指定するクレームのURI、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  • ご連絡先(電話番号):電話
  • 役割、次の形式が受け入れられます。
    • 「http://schemas.microsoft.com/ws/2008/06/identity/claims/role」
    • 「http://logicmonitor.com/saml/roles」
    • 「memberof」
    • 「グループ」
    • "グループ"
    • 「役割」
    • "役割"

注意: Microsoft Azure Active Directory(AD)IdPを使用している場合は、送信グループクレーム属性名の名前を「http://schemas.microsoft.com/ws/2008/06/identity/claims/groups」から「groups」に変更する必要があります。 」を使用して、属性がLogicMonitorによって認識され、役割が適切に割り当てられていることを確認します。 これは、Azure ADのLogicMonitorアプリケーションから実行され、Azure ADConnectの同期が有効になっているオンプレミス環境でのみ使用できます。 グループクレーム属性のカスタマイズが成功すると、[ユーザー属性とクレーム]の表示は次のようになります。

ADFSの構成

SSO構成の一般的な概要は、すべてのIDプロバイダー(IdP)で同じですが、ADFSを構成するためのヒントを次に示します。

  1. ADFS2.0がインストールされていることを確認します。デフォルトのADFSバージョンは1.0です。 ADFS2.0はここからダウンロードできます。 https://www.microsoft.com/en-us/download/details.aspx?id=10909.
  2. ADFSのインストールと展開の詳細については、を参照してください。 https://technet.microsoft.com/en-us/library/dn486820.aspx
  3. LogicMonitorアカウントからSPメタデータをダウンロードします(設定 > シングルサインオン > サービスプロバイダーのメタデータ > ダウンロード).
  4. Microsoft管理コンソールで、 依拠当事者の信頼を追加する。 選択する 証明書利用者に関するデータをファイルからインポートします SPメタデータファイルを選択します。 クリック 次へ.
  5. コメントを残す [クレームルールの編集]ダイアログを開きます オプションをオンにして、ウィザードを終了します。
  6. 次の項目を選択します。: ルールを追加する、選択する LDAP属性をクレームとして送信する をクリックし 次へ.
  7. 任意の名前を「クレームルール名」として設定し、 Active Directory 属性ストアとして。
  8. LDAP属性を次のLDAP属性と送信クレームタイプのペアでマップします。
    LDAP属性発信クレームタイプ
    SAM-アカウント名名前ID
    トークングループ–修飾されていない名前職種
    メールアドレスE-Mailアドレス

    注意: この構成では、ADFSがSamAccount-Nameと一致するLogicMonitorユーザー名を検索するため、LMユーザー名はSAMAccount-Nameと一致している必要があります。 代わりに電子メールアドレスを一致させたい場合は、SAMAccount-Nameマッピングを省略し、送信クレームとして名前IDを持つXNUMX番目のE-Mail-Addressesルールを含めることができます。

    1. (重要)プロバイダーをダブルクリックして開き、[詳細設定]タブを選択して、[セキュアハッシュアルゴリズム]をSHA-1以降に変更します。
    2. IdPメタデータ(https:// [NameOfYourADFSServer] /FederationMetadata/2007-06/FederationMetadata.xmlからダウンロード)をLogicMonitorアカウントにアップロードします。 メタデータファイルは64KB未満である必要があります。 ADFSに不要な情報が含まれることがあります。ファイルが64KBを超える場合は、SPSRoleDescriptorおよびRoleDescriptorの情報を削除してください。 エンティティ情報とIDPSSODescriptorセクションが必要です。

    注意: ChromeとADFS認証には既知の問題があります。 Chromeを認証に使用するには、ADFSWebポータルの「拡張保護」を無効にします。 通常、ADFSサーバーで拡張保護をオフにするには、次の作業が必要です。

    1. IISマネージャーを起動します。
    2. 次の項目を選択します。: サイト > デフォルトのWebサイト > ADFS > ls.
    3. 認証アイコンをダブルクリックし、右クリックします Windows認証 をクリックして [詳細設定].
    4. [詳細設定]ダイアログで、[ 拡張保護のためにオフ.

    SLOの有効化

    LogicMonitorのSSO統合には、SAMLシングルログアウト(SLO)プロトコルのサポートが含まれています。 SLOが有効になっている場合、LogicMonitorポータルから開始されたログアウトは、IdPをトリガーして、LogicMonitorからだけでなく、 そのユーザーが現在サインオンしているSSOアプリケーション。

    SLO機能は、SSOが構成されているのと同じダイアログから、 シングルログアウトを有効にする オプション。 このチェックボックスは、正確なIdPメタデータがアップロードされた後にのみ選択できます。

    注意: SLOは、SAMLv2仕様に従って実装されています。 機能はいくつかの標準ベースのIdPで検証されていますが、SAML仕様を完全にサポートしていないものもあるため、すべてのIdPとの互換性を保証することはできません。

    SSOを介したユーザーの作成と更新

    LogicMonitorとSAMLの役割

    デフォルトでは、ロールはLogicMonitorロールとしてマークされています。 

    ユーザーが SAML アサーションのロールを使用して LM にログインし、そのロールが LM のロールと一致する場合、以前に更新されていなければ、ロールは SAML ロールに更新されます。

    • つまり、LogicMonitor ロールは、IDP に存在するロールと正確に一致する場合、SAML ロールと見なされます。
    • ロールがSAMLロールとしてマークされると、LogicMonitorロールに戻すことはできません。

    既存のユーザー (SAML ユーザー) の場合、SAML アサーションからのロールに加えて、管理者は LogicMonitor に固有のロールを割り当てることができます。

    SSOを介したユーザーの作成

    新しいユーザーは、次の方法で LogicMonitor でユーザー セッションを開始できます。

    • ユーザーアカウントが存在せず、ロール属性(memberof、role、group、またはgroups)がSAMLアサーションに含まれています。 ユーザーは、LogicMonitorの役割と完全に一致する限り、対応する役割で作成されます。
    • ユーザーアカウントが存在せず、SAMLアサーションに役割属性が含まれていない新しいユーザーの場合、ユーザーが作成され、デフォルトの役割(SSO設定で構成されている)が割り当てられます。

    注意: 新しいユーザーアカウントは、デフォルトの「グループ化されていない」ユーザーグループに配置されます。

    SSOを介したユーザーの更新

    既存のユーザー (SAML ユーザー) は、次の方法で LogicMonitor でユーザー セッションを開始できます。

    • ユーザー アカウントは LogicMonitor に既に存在します。 この場合、ID プロバイダー (IdP) ユーザーは LogicMonitor SAML ユーザー名と一致します。 (NameID 形式を電子メールに設定すると、LogicMonitor ユーザー名は電子メール アドレスになります。)セッションでは、ユーザーの既存の LogicMonitor ロールが尊重されます。 LM 管理者がユーザーの LogicMonitor ロールを手動で変更すると、新しい LogicMonitor ロールと SAML アサーションからのロールの両方が存在します。
    • LogicMonitor ロールを持たず、既存の SAML ロールを持ち、SAML アサーションに含まれるロール属性を持たない既存のユーザー (SAML ユーザー) の場合、デフォルトのロール (SSO 設定で構成) がユーザーに割り当てられます。 「SSO によるユーザーの作成」セクションの画像を参照してください。
    • LogicMonitor の SAML ロールは、IDP ロールに従って更新されます。 結果として、 
      • 既存の SAML ユーザーの LogicMonitor ロールは保持されます。
      • LogicMonitorに存在するが、現在のSAMLアサーションには含まれていない既存のSAMLロールは破棄されます。
      • 既存の SAML ユーザーには、既存の LogicMonitor ロールと、SAML アサーションからの SAML ロールがあります。
    既存のLogicMonitorの役割既存のSAMLロール現在のSAMLアサーションに由来する役割割り当てられた最終的な役割
    既存のユーザー (SAML ユーザー)役割は保持されます。 例、管理者の役割。現在のSAMLアサーションに存在しない場合は破棄されます。 例、役割BLogicMonitorに存在するSAMLロールと完全に一致する場合、ロールが割り当てられます。 例、 役割Aと役割C管理者、役割A、および役割C
    既存のユーザー (SAML ユーザー)割り当てなし割り当てられました。 例、役割Bなしデフォルトの役割
    (SSO設定で構成)
    新規ユーザNANALogicMonitorに存在するSAMLロールと完全に一致する場合、ロールが割り当てられます。 例、 役割C(一致)、役割D(一致しない)役割C
    新規ユーザNANASAMLアサーションが空であるか、どのロールもSAMLロールと完全に一致していません。デフォルトの役割
    (SSO設定で構成)

    SSOの実施

    ユーザーにIDプロバイダーによる認証を強制するには、[ シングルサインオンを制限する。 ユーザーがhttps://companyname.logicmonitor.comにアクセスすると、アクティブなIdPセッションがあるかどうかが確認されます。 そうでない場合は、ログインにリダイレクトされます。 IdPに問題がある場合に、管理者がアカウントにアクセスする別の方法があります。 詳細については、サポートにお問い合わせください。

    注意: シングルサインオンを制限すると、2FAを適用する機能が無効になります。 さらに、LogicMonitorのREST APIを使用する場合、ユーザーはユーザー名/パスワードまたはAPIトークンを介してAPIリクエストを認証できます。

    IdPパートナー

    LogicMonitor 環境をさまざまな SaaS ID プロバイダーと統合できます。 マイクロソフト, OneLogin, PingIdentity, 中心化する, ビチウム および オクタ.

    サポートされている役割の形式

    SAML アサーションからのロール文字列は、ロールに解析されます。 LogicMonitor は、次の XNUMX 種類のロール形式をサポートしています。

    • シンプルなフォーマット – ロール文字列に単純なロール名が含まれている。 SAML アサーションを介してユーザーに割り当てられた複数のロールは、セミコロンで区切られます。 例えば、 admininstrator-Network;Manager
    • ADFS 修飾グループ形式 – 修飾されたロール文字列で、たとえば domain\group1、 役割 group1 解析されます。 
    • OneLoginmemberofフォーマット – ロール文字列は 4 つのロールに解析されます。 Administratorseveryone1group1および readonly
      • CN=Administrators,CN=Builtin,DC=lmcddomain,DC=com;
      • CN=everyone1,OU=Groups,OU=gawain-test,DC=lmcddomain,DC=com;
      • CN=group1,OU=Groups,OU=gawain-test,DC=lmcddomain,DC=com;
      • CN=readonly,OU=Groups,OU=gawain-test,DC=lmcddomain,DC=com;
記事上で